H3CSecPathF100系列防火墙配置教程

H3C SecPath F100 系列防火墙配置教程初始化配置H3C system-view开启防火墙功能H3Cfirewall packet-filter e nableH3Cfirewall packet-filter default permit分配端口区域H3C firewall zo ne un trustH3C-zo ne-trust add in terface GigabitEthernetO/OH3C firewall zone trustH3C-zo ne-trust add in terface GigabitEthernet0/1工作模式firewall mode tran spare nt透明传输firewall mode route 路由模式http 服务器使能 HTTP 服务器 undo ip http shutdown关闭 HTTP 服务器 ip http shutdown添加 WEB 用户H3C local-user admi nH3C-luser-admi n password simple adminH3C-luser-adm in service-type telnetH3C-luser-admi n level 3开启防范功能firewall defe nd all打开所有防范切换为中文模式Ian guage-mode chin ese设置防火墙的名称sys name sys name配己置防火墙系统 IP 地址 firewall system-ip system-ip-address address-mask 设置标准时间clock datetime time date设置所在的时区clock timez one time-z one-n ame add|minus time取消时区设置undo clock timez one配置切换用户级别的口令password取消配置的口令undo super password level user-level 缺缺省情况下，若不指定级别，则设置的为切换到切换用户级别 super level 直接重新启动防火墙reboot开启信息中心info-cen ter en able关闭信息中心undo in fo-ce nter en ableftp server en able显示下次启动时加载的配置文件显示系统本次启动及下次启动使用的配置文件 display startup显示当前视图的配置display this显示防火墙的当前的运行配置display curre nt-c on figurati on in terface in terface-type in terface-nu mber|con figurati on isp|zone|in terz one|radius-template|system|user-in terface by-l inenum|beg in|in clude|exclude stri ng 保存当前配置 save file-n ame|safely 删除 Flash 中保存的下次启动时加载的配置文件配置防火墙工作在透明模式H3C SecPath 系列安全产品配置防火墙工作在路由模式reset saved-configurationdisplay saved-co nfiguratio n by-l inenum 3 级的密码。super password level user-level simple|cipher firewall mode tran spare nt操作手册（安全）firewall mode routeundo firewall mode第 8 章透明防火墙操作命令恢复防火墙的工作模式为缺省模式缺省情况下，防火墙工作在路由模式（route）下。启动 ARP 表项自动学习功能 firewall arp-learning enable禁止 ARP 表项自动学习功能 undo firewall arp-learning enable缺省情况下，当防火墙工作在透明模式下时，防火墙启动配置 VLAN ID 透传操作命令使能接口的 VLAN ID 透传功能 bridge vlanid-transparent-transmit enable禁止接口的 VLAN ID 透传功能 undo bridge vlanid-transparent-transmit enable缺省情况下，禁止接口的VLAN ID 透传功能。ARP 表项自动学习功能。使能 ARP Flood 攻击防范功能 firewall defend arp-flood max-rate rate-nu mbe 门关闭 ARP Flood 攻击防范功能 undo firewall defend arp-flood max-rate 缺省为关闭 ARP Flood 攻击防范功能。ARP 报文的最大连接速率范围为100。1 1,000,000,缺省为SecPath 系列安全产品支持以 HTTP 方式登录到系统中，并通过 Web 管理界面对系 统进行配置和管理。在使用Web 界面登录到系统前，必须先使能HTTP 服务器功能。请在系统视图下进行下列配置。H3C SecPath 系列安全产品 操作手册(基础配置)第 4 章系统维护管理开启/关闭 HTTP 服务器开启 HTTP 服务器 undo ip http shutdown关闭 HTTP 服务器 ip http shutdown缺省情况下，系统开启HTTP 服务器。仅当登录用户具有 Tel net 的服务类型时(service-type tel net)，才允许登录 HTTP 服务器，且不同等级的用户在配置 HTTP 服务器的访问限制可以配置 HTTP 服务器，使仅具有特定设备进行配置和管理。请在系统视图下进行下列配置。表 4-18 配置 HTTP 服务器的访问限制操作命令配置 HTTP 服务器的访问限制取消对 HTTP 服务器的访问限制ip http acl acl-numberundo ip http aclIP 地址的用户才可以登录HTTP 服务器，对Web 界面中的可配置项也会不同。缺省情况下，未配置 HTTP 服务器的访问限制。仅 ACL 中允许的 IP 地址才可以访问 HTTP 服务器。表 3-10 显示系统状态信息操作命令显示系统版本信息display version显示详细的软件版本信息vrbd显示系统时钟display clock显示终端用户display users all 显示起始配置信息显示当前配置信息显示调试开关状态display saved-c on figurati ondisplay curre nt-con figurati ondisplay debuggi ng in terface in terface-typedisplay thisin terface-nu mbej module-n ame 显示当前视图的运行配置显示技术支持信息display diag no stic-in formati on显示剪贴板的内容display clipboardH3C SecPath 系列安全产品 操作手册（基础配置）操作命令显示当前系统内存使用情况display memory limit 第 3 章 Comware 的基本配置显示 CPU 占用率的统计信息display cpu-usage configuration|number offset verbose from-device 设置 CPU 占用率统计的周期cpu-usage cycle 5sec|1min|5min|72min 以图形方式显示 CPU 占用率统计历史信息 display cpu-usage history task task-id 对插槽中的插卡进行拔出预处理remove slot slot-id取消拔出预处理操作undo remove slot slot-id显示设备和插卡的信息（任意视图）配置防火墙网页登陆1.配置防火墙缺省允许报文通过。system-viewH3C firewall packet-filter default permitdisplay device slot-id 2.全区域。为防火墙的以太网接口（以 GigabitEthernetO/O 为例）配置 IP 地址，并将接口加入 到安H3C in terface GigabitEthernet0/0H3C-GigabitEthernet0/0 ip address 192.168.0.1 255.255.255.0H3C-GigabitEthernet0/0 quitH3C firewall zone trustH3C-zo ne-trust add in terface GigabitEthernet0/03.为 PC 配置 IP 地址。假设 PC 的 IP 地址为 192.168.0.2。4.使用 Ping 命令验证网络连接性。pi ng 192.168.0.2Ping 命令成功！5.添加登录用户为使用户可以通过 Web 登录，并且有权限对防火墙进行管理，必须为用户添加登录帐户并 且赋予其权限。例如：建立一个帐户名和密码都为3 的管理员用户。H3C local-user admi nH3C-luser-admi n password simple adminH3C-luser-adm in service-type telnetH3C-luser-admi n level 3在 PC 上启动浏览器（建议使用 IE5.0 及以上版本），在地址栏中输入“192.168.0.1”后回车，即可进入防火墙 Web 登录页面，使用之前创建的防火墙，单击按钮即可登录。用户可以通过IP 地址admin 帐户登录admin，帐户类型为 telnet，权限等级为Language”下拉框选择界面语言内部主机通过域名区分并访问对应的内部服务器组网应用1）配置 easy ip（不用配地址池，直接通过接口地址做转换）nat outbo und acl-nu mber2）DNS MAPnat dn s-map doma in-n ame global-addrglobal-port tcp|udp 实例：#在 Ethernet0/0/0 接口上配置 FTP 及 WWW 内部服务器。H3C in terface ethernet0/0/0H3C-Ethernet0/0/0 ip address 1.1.1.1 255.0.0.0H3C-Ethernet0/0/0 n at outbou nd 2000H3C-Ethernet0/0/0 n at server protocol tcp global 1.1.1.1in side 10.0.0.2H3C-Ethernet0/0/0 nat server protocol tcp global 1.1.1.1 ftp in side 10.0.0.3ftpH3C-Ethernet0/0/0 quit#配置访问控制列表，允许 10.0.0.0/8 网段访问 In ternet。H3C acl number 2000H3C-acl-basic-2000 rule 0 permit source 10.0.0.0 0.0.0.255H3C-acl-basic-2000 rule 1 deny#配置 ethernet1/0/0。H3C in terface ethernet1/0/0H3C-Ethernet1/0/0 ip address 10.0.0.1 255.0.0.0加上如下配置后，内部主机也可以通过域名的内部服务器。#配置域名与外部地址、端口号、协议类型之间的映射。H3C nat dn s-map url.zc./url 1.1.1.1 80 tcpH3C n at dn s-map ftp.zc.1.1.1.1 21 tcpurl.zc./url和 ftp.zc.访问其对应此时外部主机可以通过域名url.zc./url和 ftp.zc.访问其对应的内部服务器H3C SecPath“F”系列防火墙基本配置SECPATH F”系列基本出外网典型配置：内网-(e0/0)-Secpath100F-(e1/0)-in ternet192.168.1.1/24 202.10.1.194/24sysSystem View:retur n to User View with Ctrl+Z.Quidwayi nt eO/OQuidway-EthernetO/Oi nt e1/0Quidway-Ethernet1/0ip add 202.10.1.194 255.255.255.0Quidwayfire zone un trustQuidway-z one-un trustadd int e1/0Quidway-z one-un trustfire zone trustQuidway-z on e-trustadd int e0/0Quidway-z on e-trustquitQuidwayacl num 2000Quidway-acl-basic-2000rule per source 192.168.1.0 0.0.0.255Quidway-acl-basic-2000rule denyQuidwayi nt e1/0Quidway-Ethernet1/0 nat outbou nd 2000Quidwayip route-static 0.0.0.0 0.0.0.0 202.10.1.193 preference 60内网-(g0/0)-Secpath1000F-(g0/1)-in ternet192.168.1.1/24 202.10.1.194/24sysSystem View:retur n to User View with Ctrl+Z.Quidwayi nt g0/0Quidway-GigabitEthernet0/0ip add 192.168.1.1 255.255.255.0Quidway-GigabitEthernet0/0i nt g0/1Quidwayfire zone un trustQuidway-z one-un trustadd int g0/1Quidway-z one-un trustfire zone trustQuidway-z on e-trustadd int g0/0Quidway-z on e-trustquitQuidwayacl num 2000Quidway-acl-basic-2000rule per source 192.168.1.0 0.0.0.255Quidway-acl-basic-2000rule denyQuidwayi nt g0/1Quidway-GigabitEthernet0/1 nat outbou nd 2000Quidwayip route-static 0.0.0.0 0.0.0.0 202.10.1.193 preference 60 内网-(e0/0)-Secpath100F-(e0/1)-ADSLMODEM-in ternet192.168.1.1/24sysSystem View:retur n to User View with Ctrl+Z.Quidwayi nt e0/0Quidway-Ethernet0/0ip add 192.168.1.1 255.255.255.0Quidway-Ethernet0/0quitQuidwayfire zone un trustQuidway-z one-un trustadd int e0/1Quidway-z on e-trustadd int e0/0Quidway-z on e-trustquitQuidwayacl num 2000Quidway-acl-basic-2000rule per source 192.168.1.0 0.0.0.255Quidway-acl-basic-2000rule denyQuidwayi nt e0/1Quidway-Ethernet0/1 nat outbou nd 2000#配置 Dialer 接口Quidway dialer-rule 1 ip permitQuidway in terface dialer 1Quidway-Dialer1 dialer-group 1Quidway-Dialer1 dialer bun dle 1Quidway-Dialer1 ip address ppp-n egotiateQuidway-Dialer1 ppp pap local-user huawei password cipher 123456（这里的用户名和密码就是从运营商提供的）Quidway-Dialer1 nat outbou nd 2000#配置 PPPoE 会话Quidway in terface ether net 0/1Quidway-Ether net0/1 pppoe-clie nt dial-b un dle-nu mber 1Quidwayip route-static 0.0.0.0 0.0.0.0 dialer 1 preference 60